Alertes personnalisées dans Gouvernance Microsoft Entra ID
Gouvernance Microsoft Entra ID facilite l’envoi d’alertes aux personnes de votre organisation lorsqu’elles doivent réaliser une action (par exemple, approuver une demande d’accès à une ressource) ou lorsqu’un processus d’entreprise ne fonctionne pas correctement (par exemple, les nouveaux employés ne sont pas approvisionnés).
Le tableau suivant présente certaines des notifications standard fournies par Gouvernance Microsoft Entra ID, l’utilisateur cible dans une organisation, où les alertes sont attendues, et la rapidité avec laquelle les alertes sont envoyées.
Exemple de notifications standard existantes
| Utilisateur | Méthode d’alerte | Rapidité | Exemple d’alerte |
|---|---|---|---|
| Utilisateur final | Teams | Minutes | Vous devez approuver ou refuser cette demande d’accès ; L’accès que vous avez demandé a été approuvé, vous pouvez utiliser votre nouvelle application. En savoir plus |
| Utilisateur final | Teams | Jours | L’accès que vous avez demandé expire la semaine prochaine, veuillez le renouveler. En savoir plus |
| Utilisateur final | Jours | Bienvenue chez Woodgrove, voici votre passe d’accès temporaire. Plus d’informations | |
| Support technique | ServiceNow | Minutes | Un utilisateur doit être approvisionné manuellement dans une application héritée. En savoir plus |
| Opérations informatiques | Heures | Les employés nouvellement embauchés ne sont pas importés à partir de Workday. En savoir plus |
Notifications d’alertes personnalisées
Outre les notifications standard fournies par Gouvernance Microsoft Entra ID, les organisations peuvent créer des alertes personnalisées pour répondre à leurs besoins.
Toutes les activités effectuées par les services de Gouvernance Microsoft Entra ID sont consignées dans les journaux d’audit de Microsoft Entra. En envoyant les journaux vers un espace de travail Log Analytics, les organisations peuvent créer des alertes personnalisées.
La section suivante fournit des exemples d’alertes personnalisées que les clients peuvent créer en intégrant Gouvernance Microsoft Entra ID à Azure Monitor. Azure Monitor permet aux organisations de personnaliser les alertes générées, les destinataires des alertes et le mode d’envoi des alertes (e-mail, SMS, ticket de support technique, etc.).
| Fonctionnalité | Exemple d’alerte |
|---|---|
| Révisions d’accès | Alerte un administrateur informatique lorsqu’une révision d’accès est supprimée. |
| Gestion des droits d’utilisation | Alerte un administrateur informatique lorsqu’un utilisateur est directement ajouté à un groupe sans utiliser de package d’accès. |
| Gestion des droits d’utilisation | Alerte un administrateur informatique lorsqu’une nouvelle organisation connectée est ajoutée. |
| Gestion des droits d’utilisation | Alerte un administrateur informatique en cas d’échec d’une extension personnalisée. |
| Gestion des droits d’utilisation | Alerte un administrateur informatique lorsqu’une stratégie d’attribution de package d’accès de gestion des droits d’utilisation est créée ou mise à jour sans avoir besoin d’approbation. |
| Workflows de cycle de vie | Alerte un administrateur informatique en cas d’échec d’un flux de travail spécifique. |
| Collaboration multi-client | Alerte un administrateur informatique quand la synchronisation entre clients est activée |
| Collaboration multi-client | Alerte un administrateur informatique lorsqu’une stratégie d’accès entre clients est activée |
| Privileged Identity Management | Alerte un administrateur informatique lorsque les alertes PIM sont désactivées. |
| Privileged Identity Management | Alerte un administrateur informatique lorsqu’un rôle est accordé en dehors de PIM. |
| Approvisionnement | Alerte un administrateur informatique en cas de pic d’échecs d’approvisionnement au cours de la journée écoulée. |
| Approvisionnement | Alerte un administrateur informatique lorsque quelqu’un démarre, arrête, désactive, redémarre ou supprime une configuration d’approvisionnement. |
| Approvisionnement | Alerte un administrateur informatique lorsqu’une tâche d’approvisionnement passe en quarantaine. |
Révisions d’accès
Alerte un administrateur informatique en cas de suppression d’une révision d’accès.
Requête
AuditLogs
| where ActivityDisplayName == "Delete access review"
Gestion des droits d’utilisation
Alerte un administrateur informatique lorsqu’un utilisateur est directement ajouté à un groupe sans utiliser de package d’accès.
Requête
AuditLogs
| where parse_json(tostring(TargetResources[1].id)) in ("InputGroupID", "InputGroupID")
| where ActivityDisplayName == "Add member to group"
| extend ActorName = tostring(InitiatedBy.app.displayName)
| where ActorName != "Azure AD Identity Governance - User Management"
Alerte un administrateur informatique en cas de création d’une organisation connectée. Les utilisateurs de cette organisation peuvent désormais demander l’accès aux ressources mises à la disposition de toutes les organisations connectées.
Requête
AuditLogs
| where ActivityDisplayName == "Create connected organization"
| mv-expand AdditionalDetails
| extend key = AdditionalDetails.key, value = AdditionalDetails.value
| extend tostring(key) == "Description"
| where key == "Description"
| parse value with * "\n" TenantID
| distinct TenantID
Alerte un administrateur informatique en cas d’échec d’une extension personnalisée de gestion des droits d’utilisation.
Requête
AuditLogs
| where ActivityDisplayName == "Execute custom extension"
| where Result == "success"
| mvexpand TargetResources
| extend CustomExtensionName=TargetResources.displayName
| where CustomExtensionName in ('<input custom exteionsion name>', '<input custom extension name>')
Alerte un administrateur informatique lorsqu’une stratégie d’attribution de package d’accès de gestion des droits d’utilisation est créée ou mise à jour sans avoir besoin d’approbation.
Requête
AuditLogs
| where ActivityDisplayName in ("Create access package assignment policy", "Update access package assignment policy")
| extend AdditionalDetailsParsed = parse_json(AdditionalDetails)
| mv-expand AdditionalDetailsParsed
| extend Key = tostring(AdditionalDetailsParsed.key), Value = tostring(AdditionalDetailsParsed.value)
| summarize make_set(Key), make_set(Value) by ActivityDisplayName, CorrelationId
| where set_has_element(set_Key, "IsApprovalRequiredForAdd") and set_has_element(set_Value, "False")
| where set_has_element(set_Key, "SpecificAllowedTargets") and not(set_has_element(set_Value, "None"))
Workflows de cycle de vie
Alerte un administrateur informatique en cas d’échec d’un workflow de cycle de vie spécifique.
Requête
AuditLogs
| where Category == "WorkflowManagement"
| where ActivityDisplayName in ('On-demand workflow execution completed', 'Scheduled workflow execution completed')
| where Result != "success"
| mvexpand TargetResources
| extend WorkflowName=TargetResources.displayName
| where WorkflowName in ('input workflow name', 'input workflow name')
| extend WorkflowType = AdditionalDetails[0].value
| extend DisplayName = AdditionalDetails[1].value
| extend ObjectId = AdditionalDetails[2].value
| extend UserCount = AdditionalDetails[3].value
| extend Users = AdditionalDetails[4].value
| extend RequestId = AdditionalDetails[5].value
| extend InitiatedBy = InitiatedBy.app.displayName
| extend Result = Result
| project WorkflowType, DisplayName, ObjectId, UserCount, Users, RequestId, Id, Result,ActivityDisplayName
Logique d’alerte
- Basé sur : Nombre de résultats
- Opérateur : Égal à
- Seuil : 0
Collaboration multi-client
Alerte un administrateur informatique en cas de création d’une nouvelle stratégie d’accès inter-clients. Cela permet à votre organisation de détecter quand une relation est formée avec une nouvelle organisation.
Requête
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
En tant qu’administrateur, je peux recevoir une alerte lorsqu’une stratégie entrante de synchronisation entre clients est définie sur la valeur « true ». Cela permet à votre organisation de détecter quand une organisation est autorisée à synchroniser des identités dans votre client.
Requête
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
Logique d’alerte
Privileged Identity Management
Alerte un administrateur informatique lorsque des alertes de sécurité PIM spécifiques sont désactivées.
Requête
AuditLogs
| where ActivityDisplayName == "Disable PIM alert"
Alerte un administrateur informatique lorsqu’un utilisateur est ajouté à un rôle en dehors de PIM.
La requête ci-dessous est basée sur un templateId. Vous trouverez ici une liste d’ID de modèle.
Requête
AuditLogs
| where ActivityDisplayName == "Add member to role"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[2].newValue in ("\"INPUT GUID\"")
Approvisionnement
Alerte un administrateur informatique en cas de pic d’échecs d’approvisionnement au cours de la journée écoulée. Lorsque vous configurez votre alerte dans les journaux d’activité, réglez la granularité d’agrégation sur 1 jour.
Requête
AADProvisioningLogs
| where JobId == "<input JobId>"
| where resultType == "Failure"
Logique d’alerte
- Basé sur : Nombre de résultats
- Opérateur : Supérieur à
- Valeur seuil : 10
Alerte un administrateur informatique lorsque quelqu’un démarre, arrête, désactive, redémarre ou supprime une configuration d’approvisionnement.
Requête
AuditLogs
| where ActivityDisplayName in ('Add provisioning configuration','Delete provisioning configuration','Disable/pause provisioning configuration', 'Enable/restart provisioning configuration', 'Enable/start provisioning configuration')
Alerte un administrateur informatique lorsqu’une tâche d’approvisionnement passe en quarantaine.
Requête
AuditLogs
| where ActivityDisplayName == "Quarantine"
Étapes suivantes
- Analytique des journaux d’activité
- Bien démarrer avec les requêtes de journal d’activité Azure Monitor
- Créer et gérer des groupes d’alertes dans le portail Azure
- Installer et utiliser les affichages de l’analytique des journaux d’activité pour Microsoft Entra ID
- Archiver les journaux et créer des rapports sur la gestion des droits d’utilisation dans Azure Monitor